当前位置：首页 > news >正文

【云原生、k8s】Calico网络策略

news 2025/9/16 1:39:50

第四阶段

时间：2023年8月17日

参加人：全班人员

内容：

Calico网络策略

一、前提配置

二、Calico网络策略基础

1、创建服务

2、启用网络隔离

3、测试网络隔离

4、允许通过网络策略进行访问

三、Calico网络策略进阶

1、创建服务

2、拒绝所有入口流量

3、允许进入Nginx的流量

4、拒绝所有出口流量

5、允许DNS出口流量

6、允许出口流量到Nginx

一、前提配置

1、主机初始化设置

[root@k8s-master ~]# iptables -F[root@k8s-master ~]# setenforce 0[root@k8s-master ~]# systemctl stop firewalld[root@k8s-master ~]# free[root@k8s-master ~]# sysctl -p

2、安装部署k8s集群，并使用calico网络

[root@k8s-master ~]# kubectl get nodes

[root@k8s-master ~]# kubectl get pods -n kube-system

二、Calico网络策略基础

1、创建服务

1）创建命名空间

[root@k8s-master ~]# kubectl create ns policy-demo

2）在 policy-demo 命名空间中创建两个副本的 Nginx Pod。

[root@k8s-master ~]# vim nginx-deployment.yaml

[root@k8s-master ~]# kubectl apply -f nginx-deployment.yaml

[root@k8s-master ~]# kubectl get pod -n policy-demo

3）通过服务暴露 Nginx 的 80 端口。

[root@k8s-master ~]# kubectl expose --namespace=policy-demo deployment nginx --port=80

[root@k8s-master ~]# kubectl get all -n policy-demo

4）通过 busybox 的 Pod 去访问 Nginx 服务。

[root@k8s-master ~]# kubectl run --namespace=policy-demo access --rm -ti --image busybox /bin/sh

/ # wget -q nginx -O -

[root@k8s-master ~]# kubectl get all -n policy-demo

2、启用网络隔离

在 policy-demo 命名空间中打开隔离。然后 Calico 将阻止连接到该命名空间中的 Pod。执行以下命令将创建一个 NetworkPolicy，该策略将对 policy-demo 名称空间中的所有 Pod实现默认的拒绝行为。

[root@k8s-master ~]# kubectl create -f - <<EOFkind: NetworkPolicyapiVersion: networking.k8s.io/v1metadata:name: default-denynamespace: policy-demospec:podSelector:matchLabels: {}EOF

3、测试网络隔离

启用网络隔离后，所有对 Nginx 服务的访问都将阻止。执行以下命令，尝试再次访问Nginx 服务，查看网络隔离的效果。

/ # wget -q --timeout=5 nginx -O -

4、允许通过网络策略进行访问

使用 NetworkPolicy 启用对 Nginx 服务的访问。设置允许从 accessPod 传入的连接，但不能从其他任何地方传入。创建 access-nginx 的网络策略具体内容如下所示。

[root@k8s-master ~]# kubectl create -f - <<EOFkind: NetworkPolicyapiVersion: networking.k8s.io/v1metadata:name: access-nginxnamespace: policy-demospec:podSelector:matchLabels:app: nginxingress:- from:- podSelector:matchLabels:run: accessEOF

从 accessPod 访问该服务。

[root@k8s-master ~]# kubectl run --namespace=policy-demo access --rm -ti --image busybox /bin/sh

/ # wget -q --timeout=5 nginx -O -

如果没有标记access，仍然无法访问服务。

[root@k8s-master ~]# kubectl run --namespace=policy-demo cant-access --rm -ti --image busybox /bin/sh

/ # wget -q --timeout=5 nginx -O -

[root@k8s-master ~]# kubectl get all -n policy-demo

三、Calico网络策略进阶

1、创建服务

删除命令空间 policy-demo，创建新的命名空间 advanced-policy-demo。

[root@k8s-master ~]# kubectl delete ns policy-demo

[root@k8s-master ~]# kubectl create ns advanced-policy-demo

使用 YAML 文件创建 Nginx 服务。

[root@k8s-master ~]# vim nginx-deployment.yaml

[root@k8s-master ~]# kubectl apply -f nginx-deployment.yaml

[root@k8s-master ~]# kubectl expose --namespace=advanced-policy-demo deployment nginx --port=80

[root@k8s-master ~]# kubectl get all -n advanced-policy-demo

验证访问权限并访问百度测试外网连通性。

[root@k8s-master ~]# kubectl run --namespace=advanced-policy-demo access --rm -ti --image busybox /bin/sh

/ # wget -q --timeout=5 nginx -O -

/ # wget -q --timeout=5 www.baidu.com -O -

[root@k8s-master ~]# kubectl get all -n advanced-policy-demo

2、拒绝所有入口流量

设置网络策略，要求 Nginx 服务拒绝所有入口流量。然后进行访问权限的验证。

[root@k8s-master ~]# kubectl create -f - <<EOFapiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:name: default-deny-ingressnamespace: advanced-policy-demospec:podSelector:matchLabels: {}policyTypes:- IngressEOF

[root@k8s-master ~]# kub w.baidu.com -O -

从上述命令执行结果中可以看出，对 Nginx 服务的入口访问被拒绝，而仍然允许对出站 Internet 的出口访问。

3、允许进入Nginx的流量

执行以下命令，创建一个 NetworkPolicy，设置允许流量从 advanced-policy-demo 命名空间中的任何 Pod 到 Nginx Pod。创建策略成功后，就可以访问 Nginx 服务了。

[root@k8s-master ~]# kubectl create -f - <<EOFapiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:name: access-nginxnamespace: advanced-policy-demospec:podSelector:matchLabels:app: nginxingress:- from:- podSelector:matchLabels: {}EOF

[root@k8s-master ~]# kubectl run --namespace=advanced-policy-demo access --rm -ti --image busybox /bin/sh

/ # wget -q --timeout=5 nginx -O -

/ # wget -q --timeout=5 www.baidu.com -O -

4、拒绝所有出口流量

设置拒绝所有出口流量的网络策略，该策略设置成功后，任何策略未明确允许的入站或出站流量都将被拒绝。

[root@k8s-master ~]# kubectl create -f - <<EOFapiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:name: default-deny-egressnamespace: advanced-policy-demospec:podSelector:matchLabels: {}policyTypes:- EgressEOF

[root@k8s-master ~]# kubectl run --namespace=advanced-policy-demo access --rm -ti --image busybox /bin/sh

/ # nslookup nginx

/ # wget -q --timeout=5 nginx -O -

/ # wget -q --timeout=5 www.baidu.com -O -

5、允许DNS出口流量

执行以下命令，在 kube-system 名称空间上创建一个标签。该标签的 NetworkPolicy允许 DNS 从 advanced-policy-demo 名称空间中的任何 Pod 到名称空间 kube-system 的出站流量。

[root@k8s-master ~]# kubectl label namespace kube-system name=kube-system

[root@k8s-master ~]# kubectl create -f - <<EOFapiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:name: allow-dns-accessnamespace: advanced-policy-demospec:podSelector:matchLabels: {}policyTypes:- Egressegress:- to:- namespaceSelector:matchLabels:name: kube-systemports:- protocol: UDPport: 53EOF

[root@k8s-master ~]# kubectl run --namespace=advanced-policy-demo access --rm -ti --image busybox /bin/sh

/ # nslookup nginx

/ # nslookup www.baidu.com

即使DNS 出口流量被允许，但来自 Advanced-policy-demo 命名空间中所有 Pod 的所有其他出口流量仍被阻止。因此，来自 wget 调用的 HTTP 出口流量仍将失败。

/ # wget -q --timeout=5 nginx -O -

6、允许出口流量到Nginx

执行以下命令，创建一个 NetworkPolicy，允许从 advanced-policy-demo 名称空间中的任何 Pod 到具有 app: nginx 相同名称空间中标签匹配的 Pod 的出站流量。

[root@k8s-master ~]# kubectl create -f - <<EOFapiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:name: allow-egress-to-advance-policy-nsnamespace: advanced-policy-demospec:podSelector:matchLabels: {}policyTypes:- Egressegress:- to:- podSelector:matchLabels:app: nginxEOF

[root@k8s-master ~]# kubectl run --namespace=advanced-policy-demo access --rm -ti --image busybox /bin/sh

/ # wget -q --timeout=5 nginx -O -

/ # wget -q --timeout=5 www.baidu.com -O -

访问百度超时，是因为它可以解决 DNS 匹配标签以外的其他任何出口访问 app: nginx的 advanced-policy-demo 命名空间。

【云原生、k8s】Calico网络策略

第四阶段时间：2023年8月17日参加人：全班人员内容： Calico网络策略目录一、前提配置二、Calico网络策略基础 1、创建服务 2、启用网络隔离 3、测试网络隔离 4、允许通过网络策略进行访问三、Calico网络策略进阶 1、创…...

编程日记 2023/8/18 11:06:14

Unity3D 测试总结

windows 平台上导出 exe 文件在Unity界面中，点击菜单栏的“File”，选择“Build Settings”。在“Build Settings”窗口中，选择要生成的平台（例如Windows）。点击“Player Settings”按钮，进入“Player Se…...

编程日记 2023/8/18 11:05:13

【无线点对点网络时延分析和可视化】模拟无线点对点网络中的延迟以及物理层和数据链路层之间的相互作用（Matlab代码实现）

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势：🌞🌞🌞博客内容尽量做到思维缜密，逻辑清晰，为了方便读者。 ⛳️座右铭&a…...

编程日记 2023/8/18 11:04:12

在思科（Cisco）路由器中使用 SNMP

什么是SNMP SNMP，称为简单网络管理协议，被发现可以解决具有复杂网络设备的复杂网络环境，SNMP 使用标准化协议来查询网络上的设备，为网络管理员提供保持网络环境稳定和远离停机所需的重要信息。为什么要在思科设备中启用SNMP S…...

编程日记 2023/8/18 11:03:11

【压测】wg/wrk 轻量级压测

wg/wrk 轻量级压测说明：环境是 centos，不过现在 centos 免费版本不再更新和维护了，所以大家可以用阿里云的或者用 ubuntu 内核用的 https://github.com/wg/wrk.git 有 35k star 然后据我了解，windows 用 wrk 压测有点麻烦&…...

编程日记 2023/8/18 11:02:09

Redis可以用作消息队列吗？如何实现简单的消息队列功能？

是的，Redis可以被用作简单的消息队列。下面是一种实现简单消息队列功能的方式： 生产者（Producer）端： 使用LPUSH命令将消息推送到一个列表中，作为消息队列的实现。例如，使用LPUSH命令将消息推送到…...

编程日记 2023/8/18 11:01:05

[Java基础]对象转型

系列文章目录【Java基础】Java总览_小王师傅66的博客-CSDN博客 [Java基础]基本概念(上)(标识符,关键字,基本数据类型)_小王师傅66的博客-CSDN博客 [Java基础]基本概念(下)运算符,表达式和语句,分支,循环,方法,变量的作用域,递归调用_小王师傅66的博客-CSDN博客 Java字节码…...

编程日记 2023/8/18 11:00:04

JVM——类文件结构

文章目录一概述二 Class 文件结构总结2.1 魔数2.2 Class 文件版本2.3 常量池2.4 访问标志2.5 当前类索引,父类索引与接口索引集合2.6 字段表集合2.7 方法表集合2.8 属性表集合一概述在 Java 中，JVM 可以理解的代码就叫做字节码（即扩展名为 .class …...

编程日记 2023/8/18 10:59:00

银河麒麟服务器v10 sp1 .Net6.0 上传文件错误

上一篇：银河麒麟服务器v10 sp1 部署.Net6.0 http https_csdn_aspnet的博客-CSDN博客 .NET 6之前，在Linux服务器上安装 libgdiplus 即可解决，libgdiplus是System.Drawing.Common原生端跨平台实现的主要提供者，是开源mono项目。地址…...

编程日记 2023/8/18 10:57:58

C#实现普通的语音播报

Windows有文字转语音功能，C#提供了调用的类库Interop.SpeechLib.dll 使用方法很简单，在你的项目中添加Interop.SpeechLib.dll引用，在类中引用： using SpeechLib;这里提供一个CVoice类帮助实现语音播报 public class CVoice{pri…...

编程日记 2023/8/18 10:56:54

django中实现事务的几种方式

1.实现事务的三种方式 1.1 全局开启事务---> 全局开启事务，绑定的是http请求响应整个过程 DATABASES {default: {#全局开启事务，绑定的是http请求响应整个过程ATOMIC_REQUESTS: True, }} from django.db import transaction# 局部禁用事务 transac…...

编程日记 2023/8/18 10:55:53

【es6】具名组匹配

1、组匹配正则表达式使用圆括号进行组匹配，如：const RE_DATE /(\d{4})-(\d{2})-(\d{2})/;,三个圆括号形成了三个组匹配。代码： const RE_DATE /(\d{4})-(\d{2})-(\d{2})/;const matchObj RE_DATE.exec(1999-12-31); const year matchO…...

编程日记 2023/8/18 10:54:52

自然语言处理技术：NLP句法解析树与可视化方法

自然语言处理（Natural Language Processing，NLP）句法解析树是一种表示自然语言句子结构的图形化方式。它帮助将句子中的每个词汇和短语按照语法规则连接起来，形成一个树状结构，以便更好地理解句子的语法结构和含义。句法解析树对于理解句子的句法关系、依存关系以及语义角…...

编程日记 2023/8/18 10:53:51

flinksql报错 Cannot determine simple type name “org“

flink版本 1.15 报错内容 2023-08-17 15:46:02 java.lang.RuntimeException: Could not instantiate generated class WatermarkGenerator$0at org.apache.flink.table.runtime.generated.GeneratedClass.newInstance(GeneratedClass.java:74)at org.apache.flink.table.runt…...

编程日记 2023/8/18 10:52:50

一、前提配置

二、Calico网络策略基础

1、创建服务

2、启用网络隔离

3、测试网络隔离

4、允许通过网络策略进行访问

三、Calico网络策略进阶

1、创建服务

2、拒绝所有入口流量

3、允许进入Nginx的流量

4、拒绝所有出口流量

5、允许DNS出口流量

6、允许出口流量到Nginx

相关文章：